上週末CrowdStrike旗下EDR系統更新引發全球大當機的事故,在本週持續延燒,並出現多組駭客藉此事故發動攻擊的情況。但在此同時,我們認為本週資安意識教育訓練業者KnowBe4揭露的內部威脅事故,也非常值得留意。
這起事故的特殊之處在於,他們不慎聘僱到北韓駭客當軟體工程師,但在面試的過程竟然完全沒有察覺可疑的地方,對於專門指導企業員工提升資安意識的業者而言,出現這類事故相當尷尬,因為該公司人力資源部門理應要比其他公司更有警覺,可惜並非如此。
【攻擊與威脅】
駭客利用深偽技術線上應徵工作得逞,資安業者KnowBe4傳出不慎僱用北韓駭客,察覺異狀並尋求FBI協助調查
7月24日資安意識教育訓練業者KnowBe4揭露他們近期遭遇的內部威脅資安事故,該公司最近為內部的IT AI團隊招募軟體工程師,他們發布求才訊息,並在收到履歷後安排面試、查核應徵者的背景、驗證推薦者等程序,最後決定聘僱。但該公司向這名新進人員提供Mac電腦工作站之後,奇怪的事情發生:這臺電腦竟然開始被載入惡意軟體。
該公司指出,人力資源(HR)團隊其實相當盡力進行相關的檢查,他們在不同場合安排了4次視訊會議面試,並儘可能確認應徵者是履歷當中的本人,而且,該團隊也進行身家調查,以及執行就職前的其他標準審查流程。然而,對方雖然是真實人物,但這位應徵的工作者其實是濫用遭竊的美國公民身分,並使用Deepfake手法,透過AI「強化」照片。
在該公司的EDR系統偵測到異狀並向資安營運中心(SOC)發出警訊,SOC向該名新員工詢問是否需要協助。在此同時,該公司也向資安業者Mandiant、美國聯邦調查局(FBI)共享收集到的資料與初步的調查結果,從而確認這是來自北韓的假IT人員。
針對EDR更新引發全球大當機事故,CrowdStrike說明發生的原因在於驗證軟體臭蟲
EDR更新引發全球大當機將近一周,7月24日資安業者CrowdStrike發布事件初步檢討報告(Preliminary Post Incident Review),進一步說明這起事故發生的原因。
該公司表示,造成當機的原因源自於快速回應內容(Rapid Response Content)檔案的缺陷,他們在派送之前的驗證流程並未察覺而釀禍。一旦Falcon Sensor載入這批有問題的檔案,就會導致記憶體越界讀取(Out-of-bounds Read,OBR)的情況,並引發藍色當機(BSoD)畫面。
對此,他們提出預防事件重演的修正措施,包括強化對於更新檔案的多項測試,並對內容驗證器加強驗證檢查,也加強內容解譯器(Content Interpreter)對既有錯誤處理的能力。此外,該公司也將使用逐步部署策略連同加強監控、提高客戶控管能力,以及在發行公告(Release Notes)提供更多資訊給客戶,防範事件快速蔓延。該公司也計畫導入外部組織來驗證軟體程式碼,及其作業流程。
CrowdStrike造成大當機,臺灣企業部分資安長表態,有些未來不續約,有些關注災後應變態度再決定
資安業者CrowdStrike於7月19日因為EDR軟體更新出包,造成許多微軟電腦和伺服器出現藍色當機畫面(BSOD)。也有匿名高科技製造業資安主管表示,勒索軟體做不到的事情(企業電腦大規模當機),CrowdStrike做到了。另外也有不少Line資安群組,紛紛以CrowdStrike官網「62分鐘就能讓您的企業停止運作」的網路頁面,反諷CrowdStrike真的做到讓企業停止運作了。
盤點過臺灣CrowdStrike引發的電腦當機災情後,有許多資安長坦言,採用雲端服務的趨勢不可逆,對於已經是CrowdStrike的用戶並發生大規模災情,有高科技業資安主管已經考慮明年不再續約;但對於正在評估是否採購該廠牌產品的企業而言,CrowdStrike的應變方式和對客戶的補償方式等,則是他們後續評估是否採購的重要關鍵。
使用竊資軟體Lumma Stealer、Connecio的駭客加入利用CrowdStrike更新大當機為幌子的行列
上週發生的CrowdStrike更新大當機事故,包含資安業者CrowdStrike自己的威脅情報團隊在內的研究人員提出警告,駭客也會假借提供解決方案的名義,對於該廠牌EDR用戶發動攻擊,如今CrowdStrike再度公布兩起這種類型的資安事故。
7月23日研究人員表示,他們看到惡意ZIP壓縮檔CrowdStrike Falcon.zip,駭客宣稱是EDR系統Falcon的更新檔案,其內容含有使用說明的純文字檔案,以及WinRAR自解壓縮檔(SFX)CrowdStrike Falcon.exe。一旦使用者執行,電腦就會進行解壓縮作業,呼叫以Python程式語言打造的竊資軟體Connecio。
事隔一天,研究人員發現另一起竊資軟體攻擊行動,這回是惡名昭彰的Lumma Stealer(也有人稱為LummaC2),他們發現網釣網域crowdstrike-office365[.]com,假冒該資安業者的名義散布惡意ZIP及RAR壓縮檔,內含MSI安裝檔,一旦執行,電腦就會載入竊資軟體。
臺灣及美國macOS用戶遭到鎖定,中國駭客Evasive Panda使用後門程式Macma從事攻擊行動
過往駭客主要針對Windows電腦下手,但最近兩到三年,他們將攻擊範圍擴及其他作業系統的情況越來越普遍,有駭客組織使用跨平臺開發工具,打造出針對macOS、安卓作業系統的惡意程式。
例如,資安業者賽門鐵克揭露中國駭客組織Evasive Panda(他們稱為Daggerfly)開發的macOS惡意程式,就是這樣的例子。他們針對最近一波的攻擊行動提出警告,指出對方近期針對臺灣企業組織、位於中國的美國非政府組織(NGO)使用新的作案工具從事網路間諜活動,過程中利用Apache HTTP伺服器的漏洞散布惡意軟體框架MgBot。
但值得留意的是,他們發現名為Macma的macOS後門程式,也是這些駭客開發、使用的武器之一。這個後門程式最早在2021年由Google威脅情報團隊(TAG)揭露,並推測駭客2019年就開始使用,並濫用遭駭的香港網站發動水坑式攻擊,來散布這支後門程式。
重大層級ServiceNow漏洞已被用於攻擊行動,駭客恐藉此竊取帳密資料
本月10日數位工作流程管理解決方案業者ServiceNow公布重大層級的輸入驗證漏洞CVE-2024-4879,並提供更新軟體予以修補。隔日,通報此事的資安業者Assetnote公布相關細節,並指出這項漏洞相當嚴重,但攻擊者若是串連另一個重大層級的輸入驗證漏洞CVE-2024-5217,以及中度風險的敏感檔案讀取漏洞CVE-2024-5178(編按:這兩個漏洞也同樣在10日被修補),就有機會存取資料庫。這些細節公布後,很快就出相關攻擊行動。
資安業者Resecurity指出,在Assetnote公布漏洞細節不久,他們就察覺有多個駭客組織開始嘗試掃描尚未修補上述漏洞的ServiceNow平臺,根據物聯網搜尋引擎FOFA的搜尋結果,約有30萬臺ServiceNow主機有可能會被遠端探測,其中又以美國超過29萬臺數量最多,印度、瑞士居次,分別有1.9萬、1.5萬臺,英國、愛爾蘭分別有5,867臺、3,929臺。
其他攻擊與威脅
◆針對半導體矽晶圓廠環球晶圓6月遭駭事故,駭客組織Storm-1811聲稱是他們所為,要脅7月底公布竊得資料
◆北韓駭客Andariel以經濟利益為目標,發動勒索軟體攻擊
◆逾3千個GitHub帳號遭駭客組織Stargazer Goblin濫用,作為散布惡意軟體的管道
◆網路捷徑檔案安全機制繞過漏洞遭到利用,攻擊者用於散布竊資軟體
◆工控系統惡意軟體FrostyGoop今年初發動攻擊,導致烏克蘭暖氣供應中斷
【漏洞與修補】
Docker揭露嚴重度高達10分資安漏洞,問題出在外掛程式AuthZ的身分驗證,而且經過5年才發覺
本週Docker發布資安公告,指出部分版本的Docker引擎存在弱點,導致攻擊者能在特定的情況下繞過用於授權的外掛程式AuthZ,影響19.03版以上的Docker引擎,目前被登記為CVE-2024-41110列管,CVSS風險評為10分(滿分10分)。
值得留意的是,這項弱點曾於2018年發現,該公司於隔年1月發布18.09.1版予以修補,但這項弱點的修補程式碼卻並未延續到後續版本,直到今年4月才發現這樣的狀況,並在7月23日正式推出新版予以修補,使得這樣的弱點存在長達5年半,目前是否已被駭客掌握並用於攻擊行動,仍不得而知。
但已修補的漏洞程式碼為何會出現沒納入後來推出版本的情況?Docker並未進一步說明。
雲端平臺GCP的服務存在權限提升漏洞ConfusedFunction,未經授權的攻擊者可藉此存取敏感資料
7月24日資安業者Tenable揭露影響Google Cloud Platform(GCP)的權限提升漏洞ConfusedFunction,這項弱點發生在名為Cloud Functions的無伺服器運算服務,以及稱做Cloud Build的CI/CD管道服務。一旦遭到利用,攻擊者有機會以未經授權的狀態存取其他服務,或是敏感資料。他們通報此事,GCP已於部分的Cloud Build帳號著手採取緩解措施。
研究人員指出,ConfusedFunction這樣的弱點,突顯雲端服務的軟體架構極為複雜,導致服務之間的通訊可能衍生問題的情形。
【資安產業動態】
史上Google最大併購案告吹!資安業者Wiz傳出拒絕併購協議,將尋求IPO
外傳Google欲以230億美元收購雲端資安業者Wiz,果真確有其事,只不過根據CNBC報導,Wiz已經拒絕這項提議,將尋求在股票市場掛牌上市(IPO)。
CNBC取得Wiz執行長Assaf Rappaport對員工的公開信,得知該公司拒絕併購。在信中,Assaf Rappaport對員工說,拒絕對這麼大金額的收購提議不是容易的事,並表明公司接下來的目標是IPO,並且產生每年10億美元的經常性收入。Wiz原本就計畫透過小型併購成長,最終IPO。
報導引述另一名消息人士的說法,Wiz是考量反托斯調查、投資人的顧慮後,決定拒絕此併購協議。
其他資安防禦措施
◆民安10號、萬安47號演習也涵蓋資安演練,新北市針對交通控制系統遭駭進行應變處置
近期資安日報
【7月23日】臺灣企業因CrowdStrike產品更新造成電腦當機的情況,金融、資服、傳統製造、高科技製造業都傳出災情
【7月22日】資安業者CrowdStrike更新事故衝擊規模初步統計出爐,至少影響850萬臺電腦、67萬企業用戶
【7月19日】CrowdStrike旗下EDR系統更新出錯釀禍,全球出現Windows電腦大量當機,影響機場、醫院等設施運作
熱門新聞
2025-01-06
2025-01-07
2025-01-08
2025-01-06
2025-01-07
2025-01-07